مقالات امنیت سایبری

امنیت DNS یا Domain Name System

چرا مجرمین سایبری سعی دارند ترافیک اینترنت شما را تحت کنترل بگیرند؟

 

درک اهمیت امنیت DNS در امنیت کاربران

در دنیای امروزی سخت‌افزارها و نرم‌افزارهای مختلف چنان در زندگی ما ریشه گرفته‌اند که گاهی فراموش می‌کنیم این سیستم‌ها چه پیچیدگی‌ها و ظرافت‌هایی دارند. گاهی این پیچیدگی‌ها منجر به مشکلات امنیتی می‌شوند و مجرمین سایبری بشدت علاقه دارند از آنها سوء استفاده کنند.

در این مطلب به یکی از جنبه‌های امنیتی تخصصی کامپیوتر شما یعنی امنیت DNS می‌پردازیم. قبلاً در مطالب مختلف بارها راجع به امنیت چندلایه صحبت کرده‌ایم. DNS یکی از لایه‌های کلیدی در سیستم حفاظت از امنیت آنلاین است و آشنایی با خطراتی که امنیت DNS را تهدید می‌کنند، شما را در حوزه امنیت سایبری آگاه‌تر می‌کنند.

DNS چگونه کار می‌کند؟

به نظر شما حفظ کردن کدام آدرس ساده‌تر است: WordPress.org یا 66.155.40.249؟

اولی یعنی WordPress.org نام دامنه و دومی آدرس IP (آدرس پروتکل اینترنت یا Internet Protocol address) است که برای پیدا کردن و تشخیص دستگاه‌ها یا سرویس‌های کامپیوتری موجود در اینترنت استفاده می‌شود.

حتماً دلیل استفاده از سیستم نام دامنه (Domain Name System) یا DNS را متوجه شدید.

DNS نقش مهمی‌ در عملکرد اینترنت دارد چون نام دامنه‌های مختلفی مثل WordPress.org را به آدرس آی پی آن دامنه ترجمه می‌کند و بنابراین به کاربران کمک می‌کند تا اطلاعات موردنیازشان را در یک چشم بهم زدن یا حتی سریع‌تر پیدا کنند.

در دنیای امروزی که بیشتر افراد حتی شماره‌های موبایل را به سختی حفظ می‌کنند به خاطر سپردن چنین آدرس‌هایی غیرممکن است. بنابراین  کمتر کسی وب‌سایت‌ها را بر اساس آدرس IP به خاطر می‌سپارد. اما هر کدام از ما حداقل بیست تا سی سایت مختلف را بر اساس نام به یاد داریم.

در ادامه تصویری از نحوه عملکرد DNS را مشاهده می‌کنید که به درک ادامه این مطلب کمک زیادی می‌کند:

نحوه عملکرد DNS

DNS را مثل یک GPS در نظر بگیرید که درخواست‌های شما را در مسیر پر پیچ و خم جاده‌های اینترنت هدایت می‌کند و شما را به مقصد مورد نظر می‌رساند.

با توجه به وظیفه‌ DNS، این سیستم یکی از المان‌های مهم و حیاتی زندگی دیجیتال شماست. DNS همه جا هست و همه از آن استفاده می‌کنند و کل ترافیک اینترنت شما در این سیستم جریان دارد. DNS کمک می‌کند تا ترافیک اینترنت شما به سمت مقصد درست هدایت شود (در صورتیکه کسی در این فرایند مداخله نکند).

به همین دلیل مهاجمین سایبری تلاش دارند که DNS شما را تحت کنترل خودشان درآورند تا به روش‌های مختلف از سیستم شما سوء استفاده کرده، آن را آلوده کنند و هر نوع اطلاعاتی را از آن استخراج کنند.

اگر در زمینه تکنولوژی، حرفه­ای نباشید احتمالاً هیچ وقت وارد تنظیمات DNS در کامپیوترتان نشده باشید. در حالت پیش‌فرض سیستم طوری تنظیم شده که آدرس سرور DNS را به صورت خودکار پیدا کند (یعنی گزینه‌ ” obtain DNS server address automatically “).

تنظیمات DNS

با طی کردن این مراحل می‌توانید تنظیمات DNS را مشاهده کنید:

Control Panel > Network & Internet > Network Connections > کلیک راست روی کانکشن اینترنت فعلی > کلیک روی Internet Protocol Version 4 (TCP/IPv4) > کلیک روی Properties.

بدون داشتن اطلاعات فنی هم به احتمال زیاد مطلع هستید که سه موجودیت مختلف امکان تنظیم DNS شما را دارند:

  • ارائه دهنده‌ خدمات اینترنت (که به دلیل تنظیمات خودکار بیشتر از همه این کار را انجام می‌دهند)
  • Google Public DNS یا DNS عمومی گوگل (که فقط بصورت دستی تنظیم می‌شود و بزرگ‌ترین سرویس DNS موجود در دنیا را ارائه می‌دهد)
  • راهکارهای امنیت سایبری که فیلتر ترافیک مبتنی بر DNS را به عنوان بخشی از اقدامات محافظتی انجام می‌دهند.

برای درک بهتر DNS، سروری را تصور کنید که درخواست‌های شما برای مشاهده وب‌سایت‌ها یا دانلود فایل‌های مختلف را تحلیل می‌کند. با داشتن چنین دیدگاهی بهتر متوجه می‌شوید که اقداماتی که در ادامه راجع به آن‌ها صحبت می‌کنیم کجا انجام می‌شوند.

از آنجا که عملکرد Domain Name System کاملاً پیچیده است، مجرمین سایبری همیشه به دنبال راهی برای حمله به آن هستند.

چگونگی به خطر افتادن امنیت DNS

مهاجمین مخرب به دو روش می‌توانند تنظیمات DNS را هک کنند:

  • با ایجاد اختلالاتی در عملکرد DNS
  • با سوء استفاده از آسیب‌پذیری‌های امنیتی موجود در سرورهایی که سرویس‌های DNS را اجرا می‌کنند.

دو مورد از حملات سایبری مشهور که Domain Name System را هدف می‌گیرند عبارتند از: آلوده کردن کش DNS (که به آن جعل DNS هم گفته می‌شود) و DNS hijacking یا DNS ربایی.

در هر دوی این موارد عواقب ایجاد شده برای قربانیان بشدت خطرناک هستند.

آلوده کردن کش DNS / جعل DNS

آلوده کردن کش DNS که به آن جعل DNS هم گفته می‌شود متشکل از دست‌کاری فرایند ترجمه‌ در مکانیزم کاری DNS است.

سرور DNS هم مثل مرورگرها یک کش دارد که اطلاعات در آن ذخیره می‌شود. کش شدن داده‌ها باعث می‌شود که بار بعدی که شما قصد ورود به سایت مثلاً Time.com را دارید، DNS سریع‌تر کار ترجمه و تبدیل آدرس‌ها را انجام دهد.

حمله‌ آلوده کردن DNS به این معناست که مجرمین سایبری سعی دارند اطلاعاتی نادرست و مخرب را در کش DNS قرار بدهند. در صورت موفقیت‌آمیز بودن این حمله، سرور در پاسخ درخواست قربانی، یک آدرس IPی نادرست به او ارسال می‌کند و به این ترتیب مهاجم این توانایی را پیدا می‌کند که ترافیک اینترنت قربانی را به سرورها یا وب‌سایت‌های مخرب تحت کنترل خودش هدایت کند.

حمله‌ آلوده کردن DNS

از این مرحله به بعد مجرمین سایبری می‌توانند بدافزارهای مختلف را از وب‌سایت‌های تحت کنترل خودشان به کامپیوتر قربانی ارسال کنند.

می‌توان سرور DNS آلوده شده را طوری دست‌کاری کرد که محتوای ورودی از سرورهای غیرمجاز را قبول کند که معمولاً این محتوا برای گسترش نرم‌افزارهای مخرب و انتقال این نرم‌افزارها به کامپیوتر قربانیان استفاده می‌شود.

حالا به این نکته توجه کنید که سرور DNS فقط برای یک کامپیوتر خاص استفاده نمی‌شود. در صورتیکه این سرور مربوط به یک ارائه دهنده سرویس اینترنت باشد، هزاران کاربر از آن استفاده می‌کنند. اگر چنین سروری در معرض خطر قرار بگیرد، تمام این کاربران هم تحت تأثیر قرار می‌گیرند و ترافیک اینترنت این افراد به وب‌سایت‌های پر از بدافزار هدایت می‌شود و از آسیب‌پذیری‌های موجود در سیستم‌شان برای آلوده کردن کامپیوترهای این افراد استفاده می‌شود. که این آلودگی انواع و اقسام مختلفی دارد از جمله باج افزار، تروجان‌های اقتصادی یا بدافزارهای تولید کننده بات نت.

تشخیص آلودگی یا جعل DNS برای کاربران معمولی سخت است بخصوص اگر مهاجمین از بدافزارهای نسل دوم استفاده کنند که به صورت مخفیانه و غیرقابل شناسایی عمل می‌کنند.

DNS hijacking یا DNS ربایی

این حمله شامل دست‌کاری و تغییر تنظیمات DNS شماست طوریکه تمام درخواست‌های ترافیک اینترنت شما به یک سرور DNS مخرب هدایت می‌شود.

در نتیجه، نتایجی که دریافت می‌کنید (یعنی وب‌سایت‌هایی که در مرورگرتان مشاهده می‌کنید) دست‌کاری شده و به احتمال زیاد آلوده هستند.

دست‌کاری و تغییر تنظیمات DNS

هر چند درک این حمله نسبت به حمله آلوده کردن کش DNS ساده‌تر است اما شناسایی آن ساده‌تر نیست.

هکرها از تروجان‌هایی که با هدف‌های خاصی طراحی شده‌اند برای تغییر تنظیمات DNS از خودکار به دستی استفاده می‌کنند.

گاهی اوقات DNS ربایی یک مرحله مقدماتی دارد که در آن کامپیوتر آلوده در یک بات نت ثبت می‌شود و این کار کنترل کامل سیستم را به مهاجمین می‌دهد.

یکی دیگر از روش‌های کار این حمله، تغییر در عملکرد DNS سرور مورد اعتماد است طوریکه با استانداردهای اینترنت مغایرت پیدا کند.

در هر صورت نتیجه یکسان است؛ قربانیان به وب‌سایت‌های مخربی هدایت می‌شوند که برای فارمینگ یا فیشینگ طراحی شده‌اند. ممکن است این وب‌سایت‌ها دقیقاً مشابه با وب‌سایت‌هایی باشند که قربانی قصد مشاهده‌شان را داشته یا وب‌سایت دیگری باشد که بشدت جذاب طراحی شده تا قربانی متقاعد به ارائه‌ اطلاعات شخصی خودش به این وب‌سایت‌ها شود.

DNS hijacking یا DNS ربایی

در اکثر موارد قصد حمله کاملاً مشخص است: استخراج اطلاعات ارزشمند مثل رمزعبور، نام کاربری و سایر اطلاعات شخصی که به مهاجمین برای ورود به حساب‌های بانکی یا قربانی کردن افراد بیشتر کمک می‌کند.

اما فقط مجرمین سایبری به DNS ربایی علاقه‌مند نیستند؛ بعضی از ارائه‌دهندگان سرویس اینترنت (یا به اختصار ISP) از این تکنیک برای درآمدزایی استفاده می‌کنند (که البته قصد مخربی ندارند).

حملات آلوده سازی / جعل DNS و DNS ربایی را می‌توان مثل حمله مرد میانی در نظر گرفت. در این تکنیک‌ها مهاجم بین کامپیوتر قربانی و یک سرویس مبتنی بر وب که قربانی قصد دستیابی به آن را دارد، قرار می‌گیرد.

مهاجمین با ارائه اطلاعات DNS نادرست، می‌توانند نسخه‌های جعلی از وب‌سایت‌های مختلف را در مرورگر کامپیوتر آلوده نمایش دهند.

برای مثال، در صورتیکه DNS شما آلوده شده باشد، مجرمین می‌توانند یک کپی جعلی از وب‌سایت بانکداری آنلاین شما نمایش داده و اطلاعات حساب شما را جمع آوری کنند تا بعداً از این اطلاعات برای خالی کردن حسابتان استفاده کنند.

متأسفانه آنتی‌ویروس‌ها کمکی به شناسایی این حملات نمی‌کنند چون آنتی‌ویروس فایل‌ها و رفتار سیستم را بررسی می‌کند نه ترافیک اینترنت را. بنابراین برای تأمین امنیت نیاز به یک لایه محافظتی دیگر دارید.

برای تنظیم DNS به چه شرکت‌ها یا موجودیت‌هایی اعتماد کنیم؟

اولین مورد، ارائه دهنده خدمات اینترنت است. سعی کنید شرکتی را انتخاب کنید که سابقه‌ای طولانی و شهرت خوبی داشته باشد و حتماً هر از گاهی سیاست‌های مربوط به حفظ حریم خصوصی (privacy policy) شرکت مربوطه را بررسی کنید.

گاهی اوقات تلاش‌هایی برای استفاده از گزارش‌های DNS جهت نقض حریم خصوصی کاربران انجام می‌شود و به همین دلیل بهتر است همیشه با تغییرات موجود در دنیای تکنولوژی و امنیت همگام باشید.

مورد بعدی Google Public DNS است که خیلی از کاربران از این سرویس استفاده می‌کنند چون گوگل یک شرکت معتبر و شناخته شده است و سرویسی که ارائه می‌دهد سرعت بالایی دارد اما یکسری نگرانی‌های امنیتی درباره این سرویس وجود دارد. به گفته یکی از کاربران Reddit: “به نظر من گوگل همین حالا هم اطلاعات بسیار زیادی درباره من دارد، بنابراین ارائه‌ داده‌های بیشتر به این شرکت کار معقولی نیست.”

گزینه‌ بعدی استفاده از سرویس DNS است که در بعضی ابزارهای امنیتی ارائه می‌شود.

 

اما در صورت نصب برخی از این سرویس‌ها، تمام ترافیک اینترنت شما از طریق دیتابیس هوشمند این سرویس‌ها فیلتر شده و موارد زیر مسدود می‌شوند:

  • وب‌سایت‌های فیشینگ و فارمینگ
  • تبلیغات آلوده به بدافزار
  • وب‌سایت‌هایی که کدهای مخرب در آن‌ها تزریق شده است
  • تغییر مسیر ترافیک اینترنت
  • دانلودهای مخرب
  • اکسپلویت کیت‌ها
  • نشت داده
  • ترافیک آلوده به بدافزار که کامپیوتر قربانی را در معرض باج افزار و سایر خطرات امنیتی قرار می‌دهد.
  • و غیره

تنظیم DNS

توصیه می‌کنیم که همیشه قبل از نصب محصولات امنیتی، قابل اعتماد بودن این محصولات را بررسی کنید. سعی کنید کمی ‌زمان برای درک نحوه عملکرد این محصولات صرف کنید.

در صورت وجود هر سؤالی با شرکت مربوطه تماس گرفته و تمام سؤالات خودتان را بپرسید. کیفیت پاسخی که این شرکت‌ها ارائه می‌کنند، بیانگر کیفیت سرویسشان است.

انواع بدافزارهایی که DNS کاربران را هدف می‌گیرند

امیدواریم با مطالعه این مطلب دلیل اهمیت محافظت از تنظیمات DNS را متوجه شده باشید.

با توجه به این که تا اینجا فقط در مورد مفاهیم صحبت کردیم، در ادامه مثال‌هایی از بدافزارهای مختلف که DNS کاربران و در نتیجه ترافیک اینترنتشان را کاملاً تحت کنترل خود قرار می‌دهند ذکر می‌کنیم.

DNSChanger

یک تروجان تغییر دهنده DNS به نام DNSChanger برای 5 سال (از 2007 تا 2012) بیش از 4 میلیون کامپیوتر را آلوده کرد. منشأ اصلی این تروجان کشور استونی بود و کمپانی سازنده آن تقریباً 14 میلیون دلار از طریق تبلیغات درآمد کسب کرد. DNSChanger تبلیغات مختلفی را در صفحاتی که قربانیان مشاهده می‌کردند، تزریق می‌کرد.

بخاطر داشته باشید که کنترل DNS به این معناست که مهاجمین می‌توانند هر چیزی که خواسته باشند را در مرورگر شما نمایش دهند. بعلاوه خطرات سایبری روزبه‌روز در حال رشد و پیشرفت هستند و DNSChanger هم از این قاعده مسئثنی نیست. در مرحله‌ بعد این تروجان به شکل دیگری تحت عنوان RSPlug منتشر شد.

در سال 2011، FBI وارد عمل شد و مسئولان این حمله را بازداشت کرد. با گذشت پنج سال از این حادثه، محکومیت مجرمین سایبری که در طرح DNSChanger دست داشتند هنوز ادامه دارد:

یک مرد اهل استونی به دلیل مشارکت در این عملیات مجرمانه سایبری که بیش از 4 میلیون کامپیوتر را آلوده به بدافزار DNS ربایی کرد، به هفت سال و سه ماه زندان در کشور امریکا محکوم شد.

Vladimir Tsastsin، 35 ساله از شهر تارتو در کشور استونی یکی از عوامل اصلی در این طرح کلاهبرداری کلیکی (click fraud) 14 میلیون دلاری بود. او ششمین فردی است که در این پرونده محکوم شد و سنگین‌ترین محکومیت را دریافت کرد. این حکم در دادگاه منطقه‌ای ایالات متحده در ایالت جنوبی نیویورک صادر شد.

DNS Unlocker

این اپلیکیشن ناخواسته ( potentially unwanted application یا به اختصار PUA) در تابستان سال 1395 توسط شرکت ESET شناسایی شد. این اپلیکیشن با تمام نسخه‌های ویندوز از XP تا 10 سازگاری داشت و هدف از این افزایش سازگاری، به حداکثر رساندن تعداد قربانیان بود.

نکته مهم این بود که DNS Unlocker از یک شیوه‌ متفاوت برای تغییر تنظیمات DNS استفاده می‌کرد که شامل بررسی عمیق و انجام تغییراتی در رجیستری ویندوز بود. هدف از این روش جدید غیرقابل شناسایی شدن این بدافزار بود.

Moose worm

یکی دیگر از خطراتی که برای سرویس‌های DNS در سال 2015 ایجاد شد، Moose worm بود. Moose، سرویس‌ها و روترهای لینوکس را هدف گرفته و DNS آن‌ها را می‌ربود. این کرم کامپیوتری به جای استفاده از آسیب‌پذیری‌های نرم‌افزاری وارد سیستم‌ها می‌شد و سعی به هک نام کاربری و رمز عبور داشت/ متأسفانه انواع مختلفی از این کرم‌های کامپیوتری در اینترنت وجود دارند.

مهاجمین سعی داشتند از اتصال اینترنت کاربران برای مهندسی اجتماعی و کلاهبرداری استفاده کنند. Moose از سیستم‌های آلوده و اتصال اینترنت آن‌ها برای لایک کردن صفحات، مشاهده ویدیوها و دنبال کردن سایر اکانت‌ها در پلتفرم‌های شبکه‌های اجتماعی استفاده می‌کند.

محققین شرکت TrendMicro  دو روز بعد از شناسایی Moos یافته‌های خودشان را درباره این بدافزار منتشر کردند و اعلام کردند که این بدافزار با ترکیب حملات جستجوی فراگیر (brute force attacks) و DNS ربایی سعی به دزدیدن اطلاعات کاربران (بخصوص نام کاربری و رمزعبور) داشته است.

سه مورد ذکر شده تنها چند نمونه از بدافزارهایی هستند که به دنبال ایجاد اختلال در امنیت DNS هستند اما مسلماً تعداد این بدافزارها و خطرات موجود بسیار فراتر از موارد ذکر شده است.

ویژگی‌های خاص این حملات چندین مزیت برای مجرمین سایبری به منظورِ هدف گرفتن سرویس‌های DNS دارند. بعضی از این ویژگی‌ها عبارتند از:

  • عملکرد مخفیانه و سخت بودن شناسایی
  • عدم شناسایی توسط آنتی‌ویروس‌ها که تنها راهکار مورد استفاده‌ اکثر کاربران هستند
  • باز کردن سایر مسیرهای حمله به سیستم آلوده
  • فراهم کردن کانالی مستقیم برای آلوده کردن سیستم به بدافزار
  • فراهم کردن راهی برای ترکیب انواع روش‌های حمله که می‌توانند از سیستم برای حملات DDOS و سایر کمپین‌های انتشار بدافزار استفاده کنند.

باز هم لازم است که بر اهمیت استفاده از یک سرویس DNS امن و قابل اطمینان روی تمام دستگاه‌ها تأکید کنیم. همین که مجرمین سایبری شروع به سوء استفاده از قابلیت‌های DNS ربایی کنند، ممکن است در آینده مشکلات دیگری را ایجاد کنند که مثل باج افزارها جدی و بزرگ شوند.

آیا شما تجربه یا پیشنهادی برای امنیت DNS دارید؟! خوب با ما درمیان بگذارید.

نوشته های مشابه

‫2 دیدگاه ها

  1. سلام خسته نباشید.
    یک سوال در مورد سرویس های DNS داشتم.
    میخواستم بدونم سرویس‌دهنده‌ی DNS به چه اطلاعاتی از استفاده‌کننده‌ی سرویسش میتونه دسترسی داشته باشه؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0